Bank BNP Paribas Polska od niedawna dodatkowo uwierzytelnia nasze transakcje kartą płatniczą w internecie. Trzeba podać nie tylko standardowo kod z SMS-a, ale i nazwisko panieńskie matki. Czy to nie jest aby przesada?
Dotarłem do informacji od kilku osób, z których wynika, że podczas płatności w sklepach internetowych kartą banku BNP Paribas wymagana jest dodatkowa autoryzacja transakcji: najpierw standardowo podaje się kod z SMS-a, a potem nazwisko panieńskie matki. Pierwsza myśl klienta po tym, gdy takie żądanie z banku przyjdzie to: „oszustwo, ktoś tu wyłudza dane osobowe”. O co tutaj chodzi, do licha?
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Tak bank – jak twierdzi – „zwiększa nasze bezpieczeństwo”. Sprawdziłem i… sam stałem się „ofiarą” tej procedury. Nic nie wskazywało na uruchomienie jakiegoś specjalnego algorytmu zabezpieczającego w przypadku wyjątkowo „podejrzanych” transakcji. Niska kwota transakcji (57 zł), często używana karta do płatności w internecie (kilka razy w miesiącu), znany sklep (już kilka transakcji tą kartą w tym sklepie w ciągu ostatniego roku).
Na początku wszystko wyglądało standardowo – skompletowany koszyk, płatność kartą, podane dane karty, podany kod z SMS-a. Niespodzianką był dopiero kolejny ekran, na którym trzeba było podać właśnie nazwisko panieńskie matki. Zresztą zobaczcie sami:
Chcemy Twojego bezpieczeństwa, a więc… podaj nam wszystkie dane
Wygląda na to, że obecnie bank weryfikuje w ten sposób każdą transakcję, która wymaga podania kodu z SMS-a. Czyli jeżeli mamy gdzieś zapamiętaną kartę (np. w Allegro), to nie jest wymagany ani kod z SMS-a, ani dodatkowa weryfikacja – chociaż tu też trzeba uważać, bo jak wydawałem kiedyś większą kwotę, to – mimo zapamiętanej karty – system poprosił mnie o SMS.
Sama idea pewnie jest szczytna – bank dodatkowo chroni nasze pieniądze. Nazwisko panieńskie matki to dosyć trudna do uzyskania informacja, a więc stosunkowo bezpieczna. Problem w tym, że bezpieczeństwo powinno być dopasowane do ryzyka. Szczególnie jeżeli chodzi o podawanie danych osobowych. Chcemy przelać gdzieś wszystkie środki z konta oszczędnościowego? Dodatkowa autoryzacja przez bank jest jak najbardziej wskazana. Przy płatności w internecie na 50 zł? Niekoniecznie, skoro w sklepach możemy płacić bez podawania PIN-u nawet do 100 zł!
Już teraz wiele banków podczas rozmowy telefonicznej (zwykła oferta marketingowa, np. propozycja kredytu) prosi o dodatkową weryfikację (często właśnie nazwiskiem panieńskim matki).
Moim zdaniem takie działania banku to działanie na korzyść internetowych złodziei lub wyłudzaczy danych. Dzięki takim procedurom pojawia się większa skłonność do udostępniania swoich danych osobowych przez klientów. Skoro podawanie danych osobowych przez telefon jest naturalne, to jeśli zadzwoni złodziej, to też je podamy.
Teraz szykuje nam się to samo z transakcjami internetowymi. Będziemy automatycznie podawać bardzo cenne dane osobowe, a tym samym będziemy bardziej narażeni na ich wypłynięcie. Dając się nabrać w fałszywej bramce płatności, stracimy kolejny bezpiecznik. I to na zawsze, bo takiego nazwiska nie zmienimy w przyszłości.
Pytam, o co chodzi – bank wyjaśnia
Zapytałem w banku o powyższą sytuację. W szczególności o to, czym jest uzasadniona taka zmiana i dlaczego podawanie wrażliwej, bądź co bądź, danej jest wymagane nawet dla transakcji o niskiej kwocie. Postanowiłem też sprawdzić, czy zdaniem banku takie rozwiązanie nie popularyzuje udostępniania na prawo i lewo swoich danych osobowych, których bez powodu nie należy podawać. Odpowiedzi cytuję poniżej.
„Dodatkowy krok w autentykacji klienta podczas wykonywania transakcji w internecie został wdrożony jako realizacja postanowień dyrektywy PSD2 – obowiązek stosowania Strong Customer Authentication (SCA). Wszyscy uczestnicy rynku będą musieli dostosować się do tych wymogów PSD2 do końca 2020 r. Bank BNP Paribas już teraz wdrożył dwufaktorową identyfikację, a pozostałe elementy rozwiązania, w tym zwolnienia dopuszczone przepisami, wdroży sukcesywnie do końca tego roku. W ramach zwolnień od stosowania SCA będą m.in. transakcje niskokwotowe”.
Przedstawicielka banku tłumaczy, że podstawową metodą autentykacji klienta podczas wykonywania transakcji w internecie jest autoryzacja mobilna w aplikacji mobilnej – to wygodna i szybka forma potwierdzania transakcji.
„Autentykacja klienta za pośrednictwem hasła SMS wysyłanego na telefon klienta oraz nazwiska panieńskiego matki jest wyłącznie metodą dla tych klientów, którzy nie posiadają aplikacji mobilnej i traktujemy ją jako przejściową, do momentu wdrożenia rozwiązania docelowego”
Czyli znowu wszystko to wina PSD2. Bank na razie poszedł na łatwiznę i zabezpieczył wszystkie transakcje tzw. drugim czynnikiem bezpieczeństwa. Mam nadzieję, że informatycy (i prawnicy) banku pracują nad wygodniejszymi sposobami. Nie ma dwóch zdań, że najbezpieczniejsze jest zatwierdzanie transakcji przez aplikację mobilną. Dzięki niej autoryzacja transakcji przebiega bez podawania dodatkowych danych.
W rozporządzeniu regulującym obowiązki banków dopuszczonych jest kilka wyjątków od dwuczynnikowego uwierzytelniania transakcji, chociażby dla zdalnych elektronicznych transakcji płatniczych, które dostawca usług płatniczych uzna za charakteryzujące się niskim poziomem ryzyka. Do tego bank musi jednak przeprowadzić między innymi analizę ryzyka w czasie rzeczywistym i nie stwierdzić:
– niestandardowych wydatków lub niestandardowego wzorca zachowań płatnika;
– nietypowych informacji na temat dostępu do urządzenia/oprogramowania płatnika;
– wystąpienia złośliwego oprogramowania w którejkolwiek sesji procesu uwierzytelniania;
– znanego scenariusza oszustwa w świadczeniu usług płatniczych;
– niestandardowej lokalizacji płatnika;
– lokalizacji odbiorcy wiążącej się z wysokim ryzykiem.
Czy systemy banków są do tego gotowe? To taka trochę idealna i utopijna sytuacja, w której algorytmy rozpoznają, że my płacimy kartą i wszystko przebiega gładko lub stwierdzają coś dziwnego i uruchamiają dodatkowe zabezpieczenia. Mogłoby to też uchronić od spontanicznych zakupów niektórych pijanych ludzi w środku nocy.
Czy można to zrobić lepiej?
Bank BNP obiecuje dalsze zmiany. W innych bankach osoby odpowiedzialne też mają pewnie ból głowy związany z silnym uwierzytelnianiem klienta, czego przykładem może być niedawny artykuł Maćka Samcika o kluczeniu z autoryzacją SMS w Citibanku. Jak to rozwiązać?
Cóż – najbezpieczniejsze są tokeny sprzętowe. Maciek już w połowie zeszłego roku zauważył, że niemieckie banki nie chcą opierać się na technologii autoryzacji smsowej i będą używać tokenów działających offline. Nie są one może najwygodniejsze, ale na pewno dobrze chronią naszą gotówkę.
Pytanie, czy aż takie bezpieczeństwo jest nam niezbędne do drobnych płatności kartą w internecie. Może można ustalić z klientem na etapie otwierania rachunku jakieś indywidualne hasło do transakcji w internecie. Jeżeli takie wypłynie w świat, to zawsze będzie je można zmienić.
A jeżeli już musi być nazwisko panieńskie matki, to może chociaż wybrane litery? Szansa na to, że złodzieje trafią drugą i czwartą literę nazwiska panieńskiego matki jest przecież wystarczająco mała, a nie będziemy promować nawyku podawania danych osobowych, gdzie popadnie.
Problem jest jeszcze jeden i pewnie znany bankowcom. Bezpieczne i wygodne rozwiązania nie są trudne do wymyślenia i wdrożenia. Można chociażby dodawać w kodzie z SMS-a znaną tylko sobie literę w ustalonym miejscu. Problem pojawia się w ich udostępnieniu i upowszechnieniu. Skoro jest wiele osób, które nawet nie rozumieją, co znaczy RRSO lub karencja, a klienci Citibanku zrobili bunt, bo nie podobała im się autoryzacja transakcji w aplikacji mobilnej, to banki będą miały naprawdę ciężką przeprawę z tym w przyszłości.
Zdjęcie główne: pixabay / geralt
